| layout | title | tags |
|---|---|---|
col-document |
WSTG - Latest |
WSTG |
{% include breadcrumb.html %}
| ID |
|---|
| WSTG-ATHN-02 |
Многие web-приложения и аппаратные устройства имеют пароли по умолчанию для встроенной учётной записи администратора. Хотя в некоторых случаях они и могут быть сгенерированы случайным образом, чаще они статичны, что означает, что их можно легко угадать или выяснить злоумышленнику.
Кроме того, когда в приложениях создаются новые пользователи, для них могут устанавливаться предопределённые пароли. Они могут быть либо сгенерированы автоматически приложением, либо созданы персоналом вручную. В обоих случаях, если они не генерируются безопасным способом, злоумышленник может их угадать.
- Определить, есть ли в приложении какие-либо учётные записи пользователей с паролями по умолчанию.
- Проанализировать, не создаются ли новые учётные записи пользователей со слабыми или предсказуемыми паролями.
Первым шагом к выявлению паролей по умолчанию является определение используемого программного обеспечения. Это подробно описано в разделе Сбор информации данного Руководства.
Как только программное обеспечение будет идентифицировано, попробуйте выяснить, использует ли оно пароли по умолчанию, и если да, то какие. Включая:
- Поиск по "[название приложения] default password".
- Просмотр руководства или документации поставщика.
- Проверка распространённых баз данных паролей по умолчанию, таких как CIRT.net, SecLists или DefaultCreds.
- Анализ исходного кода приложения (если таковой имеется).
- Установка приложения на виртуальную машину и его изучение.
- Осмотр оборудования на наличие наклеек (часто присутствующих на сетевых устройствах).
Если пароль по умолчанию не нашёлся, попробуйте наиболее распространённые варианты, например:
- admin, password, 12345, или другие распространённые пароли по умолчанию;
- без пароля;
- серийный номер или MAC-адрес устройства.
Если имя пользователя неизвестно, существуют различные варианты перебора имён, описанные в разделе Перебор и угадывание учётных записей пользователей. В качестве альтернативы попробуйте распространённые варианты, такие как Администратор, admin, root, или system.
Когда работники организации вручную создают пароли для новых учётных записей, они могут делать это предсказуемым образом. Это часто может быть:
- Один общий пароль, например, Пароль1.
- Сведения, относящиеся к этой организации, такие как её название или адрес.
- Пароли, которые следуют простому шаблону, например, Понедельник123, если учётная запись создана в понедельник.
Эти типы паролей часто трудно найти методом чёрного ящика, если только они не угаданы или взломаны методом перебора. Тем не менее, их легко выявить при тестировании методом серого или белого ящика.
Если приложение автоматически генерирует пароли для новых учётных записей пользователей, они также могут быть предсказуемыми. Чтобы протестировать их, создайте в приложении сразу несколько учётных записей с одинаковыми данными и сравните пароли, которые для них сформированы.
Пароли могут быть основаны на:
- одной статичной строке, общей для всех учётных записей;
- хэшированной или обфусцированной части данных учётной записи, например,
md5($username); - алгоритме с использованием времени;
- некриптографическом генераторе псевдослучайных чисел (PRNG).
Такого рода проблемы часто трудно идентифицировать с точки зрения чёрного ящика.